- PVSM.RU - https://www.pvsm.ru -

Google заплатил $500 за уязвимость, раскрывшую 500 млн почтовых адресов

Израильский специалист по информационной безопасности нашел уязвимость, которая позволяла узнать полные почтовые адреса всех пользователей Gmail, пишет [1] CNews. В благодарность Орен Хафиф получил лишь 500 долларов.

В Google не знали о существовании этой ошибки. Сколько лет она была актуальна, в точности неизвестно. Уязвимость могла быть использована не только для спама, но также фишинга и восстановления паролей к чужим аккаунтам.

Суть бага заключалась в модификации URL-запроса к сервису Gmail. Пользователи Gmail могут предоставлять доступ к своему аккаунту другим пользователям. Эта функция малоизвестна, отмечает Хафиф. Написав небольшое приложение и запустив его на компьютере, злоумышленник мог автоматически перебирать служебные символы в URL-запросе к чужому аккаунту и в конечном счете узнать его полный адрес.

Хафиф с помощью такого приложения смог получить адреса 37 тыс. аккаунтов за 2 часа перебора символов в запросе. Злоумышленник при этом может сохранять анонимность, используя сеть Tor или аналогичный способ, позволяющий скрыть реальный IP-адрес хакерской машины.

Комментарий Roem.ru: Александр Лямин, генеральный директор HighLoad Lab (разработчик анти-DDoS сервиса Qrator), считает, что найденная брешь - весьма слабая уязвимость. "Получили список ящиков Gmail - и? У Google спам-фильтр весь спам режет прекрасно. Максимум, что может быть - могут подбирать перебором пароли, но это тоже занятие презабавное".

Источник [2]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/news/62441

Ссылки в тексте:

[1] пишет: http://safe.cnews.ru/news/top/index.shtml?2014/06/16/575681

[2] Источник: http://roem.ru/2014/06/16/google101376/